Q&A
前提・実現したいこと
脆弱性診断ツールのBurpSuiteを使用しています。
CSRFの診断でBurpSuiteのGenerate CSRF PoCから罠HTMLを作成時に不要な=(イコール)が出力されてしまう時があります。
出力される時とされない時があり、原因が分からないため、質問させて頂きました。
発生している問題・エラーメッセージ
以下のようなリクエストに対して罠HTMLを作成します。
※リクエストヘッダは省略しています。
POST ~省略~ HTTP/1.1 〜省略〜 { "name":"test", "email":"test@test.com" }
作成された罠HTMLは以下のようになります。
一番最後の行に=(イコール)が出力されます。
<html> <body> <script>history.pushState('', '', '/')</script> <form action="http://~省略~" method="POST" enctype="text/plain"> <input type="hidden" name="{"name":"test","email;:"test%40.com"}" value="" /> <input type="submit" value="Submit request" /> </form> </body> </html> =
試したこと
今回初めてjsonのリクエストに対して罠HTMLを作成したので、jsonだと不要なイコールが出力されてしまうのかと調べたところ、
以下のような記事を見つけました。
https://medium.com/@pig.wig45/json-csrf-attack-on-a-social-networking-site-hackerone-platform-3d7aed3239b0
翻訳して読んでみましたが、原因や対策方法がよくわかりませんでした。
他のjsonリクエストに対しても罠HTMLを作成して見たのですが、イコールは出力されませんでした。
一度出力されたリクエストに対して、もう一度罠HTMLを作成すると、イコールは出力されませんでした。
補足情報(FW/ツールのバージョンなど)
BurpSuiteのバージョン
BurpSuite pro v2021.8.3
回答1件
0
ベストアンサー
このイコール記号は明らかに不要なのでBurpSuiteのバグではないですかね。
mediumの記事は、まったく別の内容だと思います。これはこれで面白い記事ですが。
ご提示いただいてるBurpSuiteのPoCだと、送信されるリクエストボディは下記となりますが、
{"name":"test","email;:"test%40.com"}=
以下の3点が原因で攻撃は刺さらないでしょう。
- emailの後の「;:」の箇所がJSONの文法違反(コピペミス?)
- メールアドレスの@がパーセントエンコードされているが、JSONの場合パーセントエンコードは不要
- JSONデータの後に余計な=記号がつく
このうち、余計な=記号を避けるためにinput要素を以下のようにすればよいというのがmediumの記事の趣旨です。
<input type="hidden" name='{"name":"test","email":"test@example.com","dummy":"' value='"}' />
この場合のリクエストボディは下記となります。
{"name":"test","email":"test@example.com","dummy":"="}
こうすると、JSONの文法違反は回避できる代わりに、項目dummy要素が加わります。通常JSONに余計な項目があっても単に無視されるので攻撃は成立する場合が多い、ということでしょう。
なお、enctype="text/plain"のformを使う代わりに、XMLHttpRequestを使う方法もあります。自著で恐縮ですが、下記の本の「4.16.5 Web APIのクロスサイト・リクエストフォージェリ / ◆クロスオリジン対応のXMLHttpRequestによる攻撃(シンプルなリクエスト)」という項に詳しく書いてあります。この方法だと、ダミー項目を置く必要はありません。
それでは、脆弱性診断がんばってください。
投稿2021/09/21 13:15
編集2021/09/21 13:18
総合スコア11701
あなたの回答
tips
プレビュー
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
2021/09/21 13:46